ÀÎÅÚ¸®Àü½º ±â¹Ý º¸¾È¾÷ü ÆÄÀ̾î¾ÆÀÌ(FireEye: https://www.fireeye.com)´Â ÀÚ»çÀÇ ¸Çµð¾ðÆ®(Mandiant) »ç°í ´ëÀÀ ¹× Á¤º¸ ÆÀµéÀÌ Áßµ¿, ºÏ¾ÆÇÁ¸®Ä«, À¯·´, ºÏ¹ÌÀÇ Á¤ºÎ, Åë½Å ¹× ÀÎÅÍ³Ý ÀÎÇÁ¶ó ±â¾÷ÀÇ ¼ö ¸¹Àº µµ¸ÞÀο¡ ¿µÇâÀ» ¹ÌÄ£ ‘DNS ÇÏÀÌÀçÅ·(DNS hijacking)’ °ø°Ý ½Ãµµ »ç·Ê¸¦ ŽÁöÇß´Ù°í ¹àÇû´Ù. ÇöÀç ÀÌ·¯ÇÑ °ø¼¼¸¦ ƯÁ¤ ±×·ì°ú ¿¬°è½Ãų ¼ö´Â ¾øÀ¸³ª, Ãʱâ Á¶»ç¿¡ µû¸£¸é °ø°Ý ¼¼·ÂÀÌ À̶õ°ú ¿¬°áµÇ¾î ÀÖ´Â °ÍÀ¸·Î º¸ÀδÙ. À̹ø °ø°ÝÀº Àü·Ê¾ø´Â ±Ô¸ð·Î Àü ¼¼°è¿¡¼ °ø°Ý ´ë»óÀ» °Ü³ÉÇÏ¿´À¸¸ç, »ó´çÇÑ ¼º°øÀ» °ÅµÐ °ÍÀ¸·Î Æò°¡µÈ´Ù. ÆÄÀ̾î¾ÆÀÌ´Â Áö³ ¼ö °³¿ù µ¿¾È ÀÌ·¯ÇÑ °ø°Ý È°µ¿À» ÃßÀûÇÏ¸é¼ °ø°Ý ¼¼·ÂÀÌ »ç¿ëÇÑ Çõ½ÅÀûÀÎ TTP(Àü¼ú, ±â¹ý, ÀýÂ÷) µîÀ» ¸ÅÇÎÇÏ¿© ÆľÇÇÏ°íÀÚ ³ë·ÂÇÏ¿´´Ù. ¶ÇÇÑ, °¡´ÉÇÑ Áö¿ª¿¡¼´Â ÇÇÇØ ±â°ü, º¸¾È ±â¾÷, °æÂû±â°ü µî°ú ±ä¹ÐÈ÷ °øÁ¶ÇÏ¸é¼ °ø°ÝÀÇ ÆÄ±Þ ¿µÇâÀ» ÁÙ¿© Ãß°¡ ħÇظ¦ ¹æÁöÇÏ°íÀÚ ³ë·ÂÇÏ°í ÀÖ´Ù.
À̹ø °ø°ÝÀÌ ÀϺΠÀüÅëÀûÀÎ Àü¼úÀ» È°¿ëÇÏ°í´Â ÀÖÀ¸³ª, ´ÏÁî¿¡ µû¶ó ±Ô¸ð¸¦ Á¶ÀýÇϸç DNS ÇÏÀÌÀçÅ·À» ½ÃµµÇÏ°í ÀÖ´Ù´Â Á¡¿¡¼ ´Ù¸¥ À̶õ°è È°µ¿°ú´Â ±¸º°µÈ´Ù. °ø°Ý ¼¼·ÂÀÌ ÀÌ·¯ÇÑ ±â¹ýÀ» »ç¿ëÇÏ¿© Ãʱ⠹ßÆÇÀ» ±¸ÃàÇÏ°í, ÇâÈÄ º¸´Ù ´Ù¾çÇÑ ¹æ½ÄÀ¸·Î Àü°³µÉ °¡´É¼ºÀÌ ³ô´Ù.
Ãʱâ Á¶»ç °á°ú, À̶õÀÌ ¹èÈÄ·Î ÀǽÉ
ÇØ´ç °ø°Ý¿¡ ´ëÇÑ ¿øÁ¡ ºÐ¼®(attribution analysis)ÀÌ ÇöÀç ÁøÇà ÁßÀÌ´Ù. À̹ø DNS ±â·Ï Á¶ÀÛ ±â¹ýÀÌ ¸Å¿ì Á¤±³ÇÏ°í ÁÖ¸ñÇÒ ¸¸ÇÏÁö¸¸, À̹ø °ø°ÝÀÌ »óÀÌÇÑ ½Ã°£´ë¿¡ ´Ù¾çÇÑ ÀÎÇÁ¶ó¿Í ¼ºñ½º °ø±ÞÀÚ¸¦ ´ë»óÀ¸·Î ÀÌ·ç¾îÁ³À½À» °í·ÁÇÒ ¶§ ´ÜÀÏ À§Çù ¼¼·ÂÀ¸·Î ÇÑÁ¤Çϱâ´Â ¾î·Á¿ö º¸ÀδÙ
- 2017³â 1¿ùºÎÅÍ 2019³â 1¿ù±îÁö ÇØ´ç °ø°Ý°ú °ü·ÃµÈ ´Ù¾çÇÑ È°µ¿ÀÌ ÁøÇàµÈ °ÍÀ¸·Î ÆľǵÊ
- À̹ø °ø°Ý¿¡ ´Ù¾çÇÏ¸é¼ Áߺ¹µÇÁö ¾Ê´Â °ø°ÝÀÚ Á¦¾î µµ¸ÞÀÎ(actor-controlled domain)°ú IP°¡ È°¿ëµÊ
- ¾ÏÈ£È ÀÎÁõ ¹× VPS È£½ºÆ®¸¦ À§ÇØ ±¤¹üÀ§ÇÑ °ø±Þ¾÷ü°¡ ¼±ÅõÊ
¿¹ºñ ±â¼ú Æò°¡ Áõ°Å ÀڷḦ °í·ÁÇØ º¼ ¶§, ÆÄÀ̾î¾ÆÀÌ´Â ¾î´À Á¤µµ È®½ÅÀ» ¹ÙÅÁÀ¸·Î À̶õ¿¡ ±Ù°ÅÁö¸¦ µÎ°í ÀÖ´Â ¼¼·ÂÀÌ À̹ø °ø°ÝÀ» ½ÇÇàÇÏ¿´°í, ÀÌ·¯ÇÑ È°µ¿ÀÌ À̶õ Á¤ºÎÀÇ ÀÌÇØ°ü°è¿¡µµ ºÎÇÕµÈ´Ù°í ¸»ÇÒ ¼ö ÀÖ´Ù.
- ÆÄÀ̾î¾ÆÀÌ´Â ³×Æ®¿öÅ© Æ®·¡ÇÈ Â÷´Ü, ±â·Ï, Àü¼ÛÀ» À§ÇØ »ç¿ëµÇ´Â ±â±â¿¡ À̶õÀÇ IP¸¦ ÅëÇÑ Á¢¼Ó »ç½ÇÀ» ¹ß°ßÇÏ¿´´Ù. IP ÁÖ¼ÒÀÇ Áö¸®Àû À§Ä¡°¡ °·ÂÇÑ ÁöÇ¥°¡ µÇÁö´Â ¸øÇϳª, À̵é IP ÁÖ¼Ò´Â °ú°Å À̶õÀÇ »çÀ̹ö ½ºÆÄÀÌ Ä§ÀÔ¿¡ ´ëÀÀÇÏ´Â °úÁ¤¿¡¼ ÀÌ¹Ì ¹ß°ßµÈ ¹Ù ÀÖ´Ù.
- ÀÌµé ±×·ìÀÇ ¸ñÇ¥¹°¿¡´Â Áßµ¿ Áö¿ª Á¤ºÎ°¡ Æ÷ÇԵȴÙ. ÀÌµé ±â°üÀÇ ±â¹Ð Á¤º¸´Â À̶õ Á¤ºÎÀÇ ÀÌÇØ°ü°è¿¡´Â ºÎÇÕµÇÁö¸¸ »ó´ëÀûÀ¸·Î ±ÝÀüÀû °¡Ä¡´Â ÀÛ´Ù.
ÀÌ·¯ÇÑ À¯ÇüÀÇ DNS ±â·Ï Á¶ÀÛ°ú ÇãÀ§ SSL ÀÎÁõ¼´Â ´Ù¼öÀÇ ±â°ü¿¡ ¿µÇâÀ» ¹ÌÃÄ¿Ô´Ù. ¿¹¸¦ µé¸é Åë½Å ¹× ISP ¼ºñ½º Á¦°ø¾÷ü, ÀÎÅÍ³Ý ÀÎÇÁ¶ó Á¦°ø¾÷ü, Á¤ºÎ, ÁÖ¿ä ¹Î°£ ¾÷ü µîÀÌ Æ÷ÇԵȴÙ.
±â·Ï¹° º¯°æ »ç¾È °¢°¢À» ´ë»óÀ¸·Î ´ÜÀÏ Ä§ÀÔ ¿ä¼Ò(intrusion vector)¸¦ ÆľÇÇÏ´Â °ÍÀº ¸Å¿ì ¾î·Á¿î ÀÏÀÌ´Ù. °ø°Ý ¼¼·ÂÀÌ ´Ù¾çÇÑ ±â¹ýÀ» È°¿ëÇÏ¿© Àü¼úÇÑ ¸ñÇ¥¹° ³»¿¡ Ãʱâ ħÀÔ ±â¹ÝÀ» ±¸ÃàÇÒ ¼ö´Â ÀÖ´Ù. ÆÄÀ̾î¾ÆÀÌ´Â DNS ±â·Ï Á¶ÀÛÀ» ½ÃµµÇÏ´Â ´ÜÀÏ ¼¼·ÂÀÇ Á¤±³ÇÑ ÇÇ½Ì °ø°Ý°ú °ü·ÃÇÏ¿© °í°³»ç¿¡°Ô º¸°í ÀڷḦ Á¦°øÇÑ ¹Ù ÀÖ´Ù. ¶ÇÇÑ, DNS ±â·ÏÀ» º¯°æÇÏ´Â ¸ÞÄ¿´ÏÁòÀÌ Á¤È®È÷ ¾Ë·ÁÁ® ÀÖÁö´Â ¾ÊÀ¸³ª, °ø°Ý ´ë»ó ±â°üÀÇ µµ¸ÞÀÎ µî·Ï ´ëÇà»ç °èÁ¤À» ħÇØÇÏ¿© ÀϺΠ±â·ÏÀ» º¯°æÇÏ¿´´Ù°í ÆÇ´ÜÇÑ´Ù.
ÀÌ·¯ÇÑ À¯ÇüÀÇ °ø°ÝÀº °ø°ÝÀÚ°¡ ¸ñÇ¥·Î »ï´Â ±â°üÀÇ ³×Æ®¿öÅ©¿¡ Á÷Á¢ Á¢¼ÓÇÏÁö ¾Ê¾Æµµ ¼ÒÁßÇÑ Á¤º¸¸¦ Å»ÃëÇÒ ¼ö Àֱ⿡ ÀûÀýÈ÷ ´ëÀÀÇϱ⠽±Áö ¾Ê´Ù. ÆÄÀ̾î¾ÆÀÌ´Â ÀÌ¿Í °ü·ÃÇÏ¿© ´ÙÀ½°ú °°Àº ´ëºñÃ¥À» Á¦¾ÈÇÑ´Ù.
1. µµ¸ÞÀÎ °ü¸® Æ÷ÅÐ »ó¿¡¼ ´ÙÁß ÀÎÁõ ½Ã½ºÅÛ(multi-factor authentication)À» ½ÇÇà
2. A ±â·Ï°ú NS ±â·ÏÀÇ º¯°æÀ» °ËÁõÇÑ´Ù.
3. µµ¸ÞÀÎ °ü·Ã SSL ÀÎÁõ¼¸¦ °Ë»öÇÏ¿© ¾Ç¼º ÀÎÁõ¼¸¦ Æó±â
4. OWA/Exchange ·Î±×ÀÇ ¼Ò½º IP¸¦ °ËÁõ
5. ³»ºÎ Á¶»ç¸¦ ½Ç½ÃÇÏ¿©, °ø°Ý¼¼·ÂÀÌ Á¢¼ÓÇÏ¿´´Â Áö ÆľÇ
ÀÌ·¯ÇÑ DNS ÇÏÀÌÀçÅ·°ú ±× ±Ô¸ð¸¦ °í·ÁÇØ º¼ ¶§, À̶õ¿¡ ±â¹ÝÀ» µÐ °ø°Ý¼¼·ÂÀÇ Àü¼úÀÌ Áö¼ÓÀûÀ¸·Î ÁøÈÇÏ°í ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù. À̹ø ÀÚ·á´Â ´Ù¼öÀÇ ±â°ü¿¡ ¿µÇâÀ» ¹ÌÃÆ´Ù°í ÆÇ´ÜÇÑ TTP µîÀ» °³°ýÀûÀ¸·Î Àü´ÞÇϸç, ÆÄÀ̾î¾ÆÀÌ´Â À̸¦ ÅëÇØ °ø°ÝÀÇ ´ë»óÀÌ µÉ °¡´É¼ºÀÌ ÀÖ´Â ±â°üÀÌ ÀûÀýÇÑ ¹æ¾î Á¶Ä¡¸¦ ÃëÇÒ ¼ö ÀÖµµ·Ï ÇÏ°íÀÚ ÇÑ´Ù. |